Kasım ayında Ukrayna cumhurbaşkanı, ülkenin BT savunmasının uydu iletişim altyapısına yapılan saldırılar da dahil olmak üzere 1.300’den fazla Rus siber saldırısını savuşturduğunu açıkladı.
Siber saldırıların şiddeti, geçtiğimiz yıl gelişmiş kalıcı tehdit (APT) saldırılarında görülen değişimlerden birini vurgulamaktadır: 2022’de jeopolitik gerilimler arttı ve bunlarla birlikte siber operasyonlar ulusal hükümetler için öncelikli strateji haline geldi. Uzmanlar, Rusya ve diğer ülkeler geçmişte askeri harekatları desteklemek için siber saldırıları kullanmış olsa da, devam eden savaşın bugüne kadarki en sürdürülebilir siber operasyonu temsil ettiğini ve uzmanlara göre şüphesiz önümüzdeki yıl da devam edeceğini söylüyor.
Microsoft’un Tehdit İstihbarat Merkezi’nde kurumsal başkan yardımcısı ve seçkin bir mühendis olan John Lambert, şirketin geçen ay yayınladığı Dijital Savunma Raporu 2022’de, askeri çatışmaların önümüzdeki yıl APT gruplarının arkasındaki itici güç olarak siber suçlara katılacağını söyledi.
“Ukrayna’daki çatışma, siber saldırıların karadaki askeri çatışmaya paralel olarak dünyayı etkilemek için nasıl geliştiğinin çok dokunaklı bir örneğini sağladı” dedi. “Güç sistemleri, telekomünikasyon sistemleri, medya ve diğer kritik altyapıların tümü, hem fiziksel saldırıların hem de siber saldırıların hedefi haline geldi.”
APT saldırılarının Rusya tarafından artan kullanımı geçen yıl meydana gelen en gözle görülür değişiklik olsa da, APT’ler gelişiyor. Daha fazlası kritik altyapıya geçiyor, çift kullanımlı araçları ve arazi dışında yaşama tekniklerini benimsiyor ve hedef şirketlere erişim elde etmek için yazılım tedarik zincirinin yerini belirliyor.
Kıdemli Başkan Yardımcısı Adam Meyers, siber suçlular giderek daha karmaşık araçlar kullanıyor, ancak APT teknikleri genellikle ulus devlet operasyonlarına atfediliyor, bu da şirketlerin gelişmiş aktörler tarafından kullanılan tekniklerin ve jeopolitik kaygılarla nasıl motive edilebileceklerinin daha fazla farkında olmaları gerektiği anlamına geliyor. siber güvenlik hizmetleri şirketi CrowdStrike’ın istihbarat başkanı.
“Tek tip bir tehdidiniz yok; iş sektörü ve coğrafi konuma göre değişir” diyor. “Siz – ve bu yıllardır bizim mantramız oldu – bir kötü amaçlı yazılım sorununuz yok, bir düşman sorununuz var ve bu rakiplerin kim olduğunu, neyin peşinde olduklarını ve nasıl çalıştıklarını düşünürseniz, o zaman yapacaksınız. Onlara karşı savunmak için çok daha iyi bir konumda olun.”
Kritik Altyapı, Uydular Giderek Hedefleniyor
2021’de petrol ve gaz dağıtımcısı Colonial Pipeline’a yapılan saldırı, siber güvenlik zayıflığının ABD ekonomisi üzerindeki etkisini vurguladı. Aynı şekilde bu yılki Viasat uydu iletişim sistemine saldırı – muhtemelen Rusya tarafından – APT tehdit aktörlerinin siber saldırılar yoluyla kritik altyapıyı bozmaya odaklanmaya devam ettiğini gösterdi. Eğilim, Microsoft’un şirketin müşterilere uyarı olarak yayınladığı ulus-devlet bildirimlerinin (NSN’ler) sayısının iki katından fazlaönceki yıl %20 olan kritik altyapıyı hedef alan saldırıların %40’ı.
Kritik altyapı sadece ulus-devlet aktörlerinin hedefi değildir. Fidye yazılımına odaklanan siber suçlular, kritik altyapı şirketlerini hedef almanın yanı sıra bir hack-and-leak stratejisi izliyor, Kaspersky yakın zamanda yayınlanan APT tahminlerinde belirtilen.
Kaspersky’nin baş güvenlik araştırmacısı David Emm, “2023’te hükümeti, sektörü ve kritik sivil altyapıyı (örneğin enerji şebekeleri veya kamu yayıncılığı) etkileyen rekor sayıda yıkıcı ve yıkıcı siber saldırı göreceğimize inanıyoruz” diyor. “Bu yıl, fiziksel altyapının ne kadar savunmasız olabileceği netleşti, bu nedenle su altı kablolarının ve fiber dağıtım merkezlerinin hedeflendiğini görmemiz mümkün.”
Sadece Kobalt Saldırısı Değil
Cobalt Strike, APT grupları arasında popüler bir araç haline geldi, çünkü saldırganlara – ve meşru amaçları, kırmızı ekipler ve penetrasyon test edicileri için kullanıldığında – istismar sonrası yetenekler, gizli iletişim kanalları ve işbirliği yapma yeteneği sağlıyor. Kırmızı takım aracında “kırpma[ped] Siber güvenlik firması Trellix’te güvenlik araştırmacısı olan Leandro Velasco, “devlet destekli APT’lerden siyasi amaçlı tehdit gruplarına kadar sayısız kampanyada yer aldı” diyor.
Yine de savunucular hem Cobalt Strike hem de popüler Metasploit Framework’ü tespit etmeye giderek daha fazla odaklandıkça, tehdit aktörleri ticari saldırı simülasyon aracı Brute Ratel C4 ve açık kaynak aracı Sliver dahil olmak üzere alternatiflere yöneldi.
Kaspersky’den Emm, “Brute Ratel C4 … antivirüs ve EDR koruması tarafından algılanmayı önleyecek şekilde tasarlandığından özellikle tehlikelidir,” diyor. Diğer gelecek vaat eden araçlar arasında, hem Windows hem de Linux için Rust’ta yazılmış implantlara sahip Manjusaka ve kullanım sonrası için bir uzaktan kullanım ve kontrol paketi olan Ninja yer alıyor.
Kimlik Saldırı Altında
Koronavirüs pandemisinin ardından, uzaktan çalışmanın ve bu tür çalışmaları destekleyen bulut hizmetlerinin önemi arttı ve saldırganların kimlik saldırılarıyla bu hizmetleri hedeflemesine yol açtı. Örneğin Microsoft, geçen yıla göre hacimde %74 artışla saniyede 921 saldırı gördü. şirket raporunda belirtti.
Aslında kimlik, altyapıyı ve işletmeyi güvence altına almak için kritik bir bileşen haline gelirken, aynı zamanda APT gruplarının ana hedefi haline geldi. CrowdStrike’tan Meyers, geçen yıl CrowdStrike tarafından araştırılan her ihlal ve uzlaşmanın bir kimlik bileşeni olduğunu söylüyor.
“Eskiden güven ama doğrula derdik, ancak yeni mantra doğrula ve sonra güven” diyor. “Bu saldırganlar, sistemin karmaşık bir parçası olan kimliğin o yumuşak karnını hedef almaya başladılar.”
BT Tedarik Zincirleri Saldırı Altında
SolarWinds’e yapılan saldırı ve Log4J2’deki yaygın olarak kullanılan güvenlik açığı, yazılım tedarikindeki güvenlik açıklarının saldırganlara sunduğu fırsatları gösterdi ve şirketler, APT gruplarının yazılım tedarik zincirine saldırılar yoluyla kendi güvenlik açıklarını oluşturmasını beklemelidir.
Henüz büyük bir olay olmasa da saldırganlar, açık kaynak havuzlarına yönelik bağımlılık karıştırma saldırıları ve Python geliştiricilerini hedef alan kimlik avı saldırıları ile Python ekosistemlerini hedef aldı. Genel olarak, geliştiricileri ve şirketleri hedef alan saldırıların sayısı geçen yıl %650’den fazla arttı.
Ayrıca, APT aktörleri, satıcı ve tedarikçi ilişkilerindeki zayıf noktaları bulmakta ve bunları istismar etmektedir. Microsoft’un raporuna göre, örneğin Ocak ayında İran bağlantılı DEV-0198 grubu, üçüncü taraf bir lojistik şirketinden alınan güvenliği ihlal edilmiş bir kimlik bilgilerini kullanarak İsrailli bir bulut sağlayıcısının güvenliğini ihlal etti.
Raporda, “Geçen bu faaliyet yılı, tehdit aktörlerinin … bir kuruluşun güvenilir ilişkilerinin manzarasını kuruluşların kendilerinden daha iyi tanımaya başladığını gösteriyor.” “Bu artan tehdit, kuruluşların dijital varlıklarının sınırlarını ve giriş noktalarını anlama ve sağlamlaştırma ihtiyacını vurguluyor.”
Trellix’ten Velasco, APT gruplarına ve gelişmiş saldırılara karşı savunmalarını güçlendirmek için şirketlerin siber güvenlik hijyenlerini düzenli olarak doğrulamaları, olay müdahale stratejileri geliştirmeleri ve devreye almaları ve eyleme geçirilebilir tehdit istihbaratı akışlarını süreçlerine entegre etmeleri gerektiğini söylüyor. Kimlik saldırılarını daha zor hale getirmek için çok faktörlü kimlik doğrulamanın rutin olması gerektiğini söylüyor.
Velasco, “2023’te basit güvenlik planlaması, saldırganları caydırmak veya önlemek için yeterli değil” diyor. “Sistem savunucularının daha proaktif bir savunma yaklaşımı uygulaması gerekiyor.”
